Benutzer:Mgadmin: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
KKeine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(15 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Bei handelsüblichen DSL-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren möchte, zum Beispiel in einer DMZ, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden sondern auch die ausgehenden Verbindungen einem strengem Regelwerk unterliegen.
{{Benutzer
|nick=Mgadmin
|name=Martin G. (Scheese)
|ort=Rueckersdorf
|email=freifunk@scheese.de
|monitoringname= mgadmin
}}
''' 09.02.2015 ''' [http://n-land.de/news/rueckersdorf/freifunker-kaempfen-fuer-ein-besseres-netz Pegnitz Zeitung: Freifunker kämpfen für ein besseres Netz]


Es ist sicher zu stellen, dass der FF-Router in dem jeweiligen Netzwerksegment eine IPv4 Adresse von einem DHCP-Server bekommt. Oft ist es der Fall, dass in einer DMZ-Zone kein DHCP-Service existiert. In diesem Fall müsste man auf der Firewall, für die jeweilige Zone und den jeweiligen IP-Adressbereich, erst einen DHCP-Server definieren. Dies kann, je nach Firewall-Model und Hersteller, sehr unterschiedlich geschehen und sollte mit dem Betreiber der Firewall und dem Netzwerkverantwortlichen im Vorfeld geklärt werden.  
'''Synology: ''' [https://10.50.156.40:5001 Freifunk Synology Login]


Wenn der FF-Router nun seine intern vergebene und auch reservierte IPv4 bekommt, müssen noch einige Services für den ausgehenden Netzwerkverkehr definiert werden. Ich mache in diesem Fall immer gleich eine Servicegruppe und weise diese dann dem entsprechenden Host in der neuen Firewall Regel zu. Vielleicht empfiehlt es sich auch gleich eine Hostgruppe anzulegen falls mehrere FF-Router in dem Firmennetz positioniert werden.
[[Category:Lauf]]
 
Der Freifunk-Router benötigt folgende ausgehenden Services:
DNS, HTTP, ICMP, und Port 10000 UDP für den VPN-Tunnel.
Bei mehreren FF-Routen braucht man mehrere UDP-Ports. Ich habe in diesem Fall einfach die Ports 10000-11000 eingestellt. Falls dies nicht reichen sollte muss man in den Firewall-Logs nachsehen was noch blockiert wird und entsprechend nachbessern.
 
Hier ganz genau die einzelnen Service-Regeln:
 
'''Name                 Protocol        Details'''
 
DNS&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP(1:65535)/(53),TCP(1:65535)/(53)<br />
HTTP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP(1:65535)/(80) <br />
ICMP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ICMP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ICMP any/any<br />
FF-VPN-Tunnel&nbsp;&nbsp;TCP/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;UDP(1:65535)/(10000-11000)<br />
 
--[[Benutzer:Mgadmin|Scheese]] ([[Benutzer Diskussion:Mgadmin|Diskussion]]) 09:59, 28. Nov. 2014 (CET)

Aktuelle Version vom 20. September 2017, 06:37 Uhr


Nick Mgadmin
Name Martin G. (Scheese)
Wohnort Rueckersdorf
E-Mail freifunk@scheese.de
Knoten von mgadmin (Monitoring)
Wiki Beiträge


09.02.2015 Pegnitz Zeitung: Freifunker kämpfen für ein besseres Netz

Synology: Freifunk Synology Login